70.000 euros de sanción para la compañía telefónica cuya política de seguridad superó el estafador, pero no el titular de la cuenta26/05/2023

70.000 euros de sanción para la compañía telefónica cuya política de seguridad superó el estafador, pero no el titular de la cuenta

El estafador que suplantó la identidad de uno de los clientes utilizó el teléfono móvil para realizar varias transferencias

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 70.000 euros a una empresa de telefonía, Digi Spain Telecom, que expidió un duplicado de tarjeta SIM a un estafador que suplantó la identidad de uno de sus clientes y que utilizó el teléfono móvil para realizar varias transferencias desde la cuenta bancaria del mismo. La AEPD considera que la empresa no actuó con la diligencia necesaria para evitar el fraude y que vulneró el artículo 6 del Reglamento de Protección de Datos en lo que se refiere a la licitud de tratamiento de los datos personales del cliente.

Cuando el reclamante se dio cuenta de que no tenía cobertura, contactó con la operadora, que le indicó que el día anterior se había solicitado un duplicado de tarjeta a su nombre. Posteriormente, comprobó que habían cambiado la contraseña en la aplicación de su banco y que se habían realizado diversas transferencias no autorizadas.

El estafador había superado la política de seguridad establecida por DIGI para la identificación de los clientes que contactan por teléfono, aportando nombre, apellidos, número de teléfono, DNI y los cuatro últimos dígitos de su cuenta bancaria. No se le requirió una imagen del DNI. Paradójicamente quien no superó el control de seguridad, en un primer intento, fue el titular real de la cuenta que no disponía de los dígitos de seguridad por no disponer de los dígitos de su cuenta bancaria. La línea activada fraudulentamente estuvo activa 16 horas. La Agencia Española de Protección de Datos considera que la emisión del duplicado de tarjeta a una persona que había usurpado la identidad de un cliente es irregular y vulnera el artículo 6.1 del Reglamento de Protección de Datos.

La empresa sostiene que no se ha acreditado ningún tratamiento no legitimado de datos personales, por cuanto no consta en el relato fáctico que se haya facilitado o puesto a disposición del suplantador ningún dato distinto a los que el estafador conocía previamente. Añade que se siguieron los protocolos de seguridad establecidos y recrimina a la AEPD que confunda “el hecho de que un tercero suplante la identidad del titular con que no se haya seguido el protocolo, sin que exista una justificación fundada para ello”. En este sentido, mantienen que han sido diligentes y que no se les puede juzgar únicamente por el resultado lesivo, “sin considerar el despliegue de medidas técnicamente adecuadas e implantadas”. En su defensa, indican que existe la posibilidad de que aún habiéndose pedido la copia del DNI esta fuera falsa y no habría supuesto un refuerzo en la seguridad.

La AEPD considera que ha quedado acreditada la falta de diligencia debida y subraya que la actividad del recurrente es de constante y abundante manejo de datos de carácter personal, lo que implica que deben extremar el rigor y el cuidado por ajustarse a las prevenciones legales al respecto. En este caso “no se ha garantizado una seguridad adecuada en el tratamiento de los datos personales, habida cuenta del resultado que ha producido la suplantación de identidad. Es decir, un tercero ha conseguido acceder a los datos personales del titular de la línea”. La Agencia advierte que, en el caso de infracciones cometidas por empresas, aunque debe concurrir el elemento de culpabilidad, éste se aplica necesariamente de forma distinta a como se hace respecto de las personas físicas, en las que falta el elemento volitivo, pero no la capacidad de infringir las normas. Según la resolución, “no basta, en suma, para la exculpación frente a un comportamiento típicamente antijurídico la invocación de la ausencia de culpa”.

La Administración destaca la gravedad de las consecuencias que la falta de diligencia tuvo para el afectado. El estafador tuvo acceso a los contactos, aplicaciones, redes sociales y cuentas bancarias. Señala que debió haberse comprobado el original del DNI y que la empresa “no apunta cuál pudo haber sido la causa concreta que desembocó en la emisión del duplicado, más allá de unas explicaciones genéricas sobre una actividad fraudulenta de un tercero. En todo caso, la parte reclamada no ha sido capaz de acreditar que para este supuesto se siguiera el procedimiento implantado por ella misma, ya que, de haberlo hecho, se debió haber producido la denegación del duplicado de la tarjeta SIM”.

La AEPD señala que las sanciones, conforme al artículo 83.1 del RGPD deben estar individualizadas para cada caso particular, ser efectivas, proporcionadas y disuasorias. Por ello, impone una sanción de 70.000 euros en una resolución que puede ser recurrida ante la Audiencia Nacional.

(Fuente ECONOMIST & JURIST)

ADVOCATI ABOGADOS es un despacho multidisciplinar fundado en 1993 cuyo objetivo es el asesoramiento de empresas y particulares, incluyendo la defensa judicial en todo tipo de materias. Si tiene algún problema legal no dude en consultarnos.

AVISO LEGAL: En cumplimiento de lo establecido en los artículos 21 y 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, usted puede revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones publicitarias o promocionales por correo electrónico u otros medios de comunicación electrónica equivalentes, remitiendo un mensaje de correo electrónico con el asunto “BAJA E-MAIL COMER, a la siguiente dirección: eduardo.bures@altadvocati.com


Volver

Las cookies nos permiten ofrecer nuestros servicios. Al continuar navegando, aceptas el uso que hacemos de ellas [+]. Aceptar  Rechazar